Gids Naleving Cyberbeveiliging

NIS2 cybersecurity-gereedheid: de 10 beveiligingsmaatregelen die uw organisatie nodig heeft

NIS2 is een praktische basislijn voor cyberbeveiliging: toegangscontrole, incidentdetectie, supply chain-risico's en zeven andere verplichte beveiligingsmaatregelen. De meeste grote en middelgrote ondernemingen in Nederland zijn er aan onderworpen. Deze gids behandelt de tien controles onder artikel 21 en hoe u deze kunt documenteren en testen voordat een incident het probleem forceert.

CT
Cyvra-team
Cyvra-advies
1 mei 2026
7 minuten lezen
Belangrijkste afhaalrestaurants
  • Ongeveer 160.000 entiteiten in de hele EU vallen nu onder het bereik, veel meer dan NIS1
  • U heeft 24 uur de tijd om een ​​vroegtijdige waarschuwing in te dienen nadat u een aanzienlijk incident heeft ontdekt
  • Beheersorganen zijn persoonlijk aansprakelijk als de vereiste maatregelen niet worden geïmplementeerd
  • Artikel 21 schrijft tien specifieke veiligheidsmaatregelen voor, van beveiliging van de toeleveringsketen tot MFA
  • Essentiële entiteiten riskeren boetes tot €10 miljoen of 2% van de wereldwijde jaaromzet

Waarom NIS2 een fundamenteel andere verplichting is

NIS1 omvatte ongeveer 5.000 entiteiten in de hele EU. NIS2 brengt ongeveer 160.000 in bereik. De oorspronkelijke richtlijn was gericht op exploitanten van kritieke infrastructuur en op een beperkt aantal digitale dienstverleners. NIS2 strekt zich uit tot middelgrote en grote ondernemingen in 18 sectoren, waaronder de gezondheidszorg, financiële dienstverlening, productie, voedselproductie en postdiensten.

De andere belangrijke verandering is de handhaving. Onder NIS1 liepen de lidstaten op het gebied van naleving en sancties sterk uiteen. NIS2 specificeert boetes rechtstreeks in de richtlijntekst: tot € 10 miljoen of 2% van de wereldwijde jaaromzet voor essentiële entiteiten (welke het hoogste is), en tot € 7 miljoen of 1,4% van de wereldwijde omzet voor belangrijke entiteiten. Nationale toezichthouders in Nederland (het NCSC en sectorspecifieke instanties) hebben nu de bevoegdheid om organisaties die zich niet aan de regels houden, te controleren, te bestraffen en publiekelijk te benoemen. NIS2 introduceert ook persoonlijke aansprakelijkheid voor het management: uw bestuur kan rechtstreeks verantwoordelijk worden gehouden voor het goedkeuren van en toezicht houden op maatregelen voor cyberbeveiligingsrisicobeheer. Als er een inbreuk plaatsvindt en uw organisatie kan niet aantonen dat het management zijn verplichtingen serieus heeft genomen, worden individuele bestuurders geconfronteerd met blootstelling.

160,000
entiteiten in de hele EU, een stijging ten opzichte van ~5.000 onder NIS1
€ 10 miljoen
maximale boete voor essentiële entiteiten, of 2% van de wereldwijde jaaromzet
24 uur
om uw eerste incidentmelding in te dienen bij de bevoegde autoriteit

Bent u binnen bereik?

NIS2 sorteert entiteiten in twee lagen op basis van sector en grootte. Essentiële entiteiten komen uit elf cruciale sectoren: energie, transport, bankwezen, financiële marktinfrastructuur, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, openbaar bestuur en ruimtevaart. Belangrijke entiteiten komen uit nog zeven sectoren: post- en koeriersdiensten, afvalbeheer, chemicaliën, voedselproductie en -distributie, productie (medische apparatuur, computers, machines, motorvoertuigen), digitale aanbieders (onlinemarktplaatsen, zoekmachines, sociale platforms) en onderzoeksorganisaties.

Groottedrempels zijn van belang voor beide niveaus. Middelgrote ondernemingen (50 tot 249 werknemers, of €10 miljoen tot €49 miljoen jaaromzet) en hoger vallen over het algemeen binnen de reikwijdte. Kleine ondernemingen (minder dan 50 werknemers, minder dan 10 miljoen euro omzet) zijn doorgaans vrijgesteld, met uitzonderingen voor bepaalde categorieën, zoals de enige aanbieders van kritieke diensten in hun lidstaat.

Sommige entiteiten vallen binnen de reikwijdte, ongeacht hun grootte. DNS-providers, TLD-naamregisters, cloud computing-providers, datacenterexploitanten, netwerken voor inhoudslevering en aanbieders van beheerde beveiligingsdiensten komen allemaal automatisch in aanmerking. Als uw organisatie in een van deze categorieën valt, is de vraag over het personeelsbestand niet relevant.

Britse opmerking

NIS2 is alleen van toepassing binnen de EU-lidstaten. Het VK opereert onder zijn eigen Network and Information Systems Regulations (2018), die afzonderlijk worden bijgewerkt door het DCMS. Als uw organisatie activiteiten in de EU of in de EU gevestigde klanten heeft, vallen deze activiteiten onder NIS2, zelfs als uw hoofdkantoor in Londen is gevestigd. Verwacht wordt dat Groot-Brittannië een herzien NIS-kader zal invoeren, maar er is geen omzettingsdatum vastgesteld vanaf begin 2026.

De tien veiligheidsmaatregelen onder artikel 21

Artikel 21 van NIS2 specificeert de minimale beveiligingsmaatregelen die alle entiteiten binnen het toepassingsgebied moeten implementeren. Dit zijn geen ambitieuze richtlijnen. Toezichthouders kunnen de naleving van elk van hen controleren.

1
Risicoanalyse en informatiebeveiligingsbeleid
Een gedocumenteerd raamwerk voor risicobeheer dat uw netwerk- en informatiesystemen omvat, dat met vaste tussenpozen wordt herzien.
2
Incidentafhandeling
Procedures voor detectie, analyse, insluiting, uitroeiing en herstel, inclusief gedefinieerde rollen en een getest incidentresponsplan.
3
Bedrijfscontinuïteit, back-upbeheer en noodherstel
Geteste back-upprocessen voor kritieke systemen, waarbij hersteltijd- en herstelpuntdoelstellingen zijn gedefinieerd en gevalideerd.
4
Beveiliging van de toeleveringsketen
Beoordeling van de beveiligingspositie van directe leveranciers, inclusief contractuele beveiligingsvereisten en voortdurende monitoring.
5
Beveiliging bij systeemaankoop, -ontwikkeling en -onderhoud
Veilige ontwikkelingspraktijken, processen voor het openbaar maken van kwetsbaarheden en patchbeheerprocedures.
6
Beleid om de effectiviteit van cyberbeveiligingsmaatregelen te beoordelen
Regelmatig testen, beoordelingen en audits, zoals penetratietesten en interne beoordelingen.
7
Basistraining cyberhygiëne en cyberbeveiliging
Basiscontroles (patching, toegangscontrole, anti-malware) en verplichte training voor al het personeel, inclusief het senior management.
8
Beleid inzake cryptografie en encryptie
Gedocumenteerd gebruik van encryptie voor gegevens in rust en onderweg, met procedures voor sleutelbeheer.
9
Human resources-beveiliging, toegangscontrole en activabeheer
Processen voor toetreders, verhuizers en verlaters, principes voor toegang met de minste privileges en een bijgehouden activa-inventaris.
10
Multi-factor authenticatie en veilige communicatie
MFA voor alle bevoorrechte toegang en beveiligde kanalen voor interne spraak-, video- en tekstcommunicatie.

De meeste organisaties beschikken al over gedeeltelijke controles op deze gebieden. De kloof bestaat meestal uit ongedocumenteerde processen, ongeteste herstelplannen en toeleveringsketenclausules die op papier bestaan ​​maar nooit zijn gevalideerd.

Incidentmelding: de drie deadlines

NIS2 introduceert een meldingsvereiste in drie fasen voor significante incidenten. Een significant incident is een incident dat ernstige operationele verstoringen of financiële verliezen veroorzaakt of dreigt te veroorzaken, of andere entiteiten of andere lidstaten treft.

De tijdlijnen lopen vanaf het moment dat uw organisatie zich bewust wordt van het incident, niet vanaf het moment dat het begon.

  • 24 uur: vroege waarschuwing. Informeer het relevante CSIRT of de bevoegde autoriteit dat er een significant incident heeft plaatsgevonden. In dit stadium volstaat een korte beschrijving en een indicatie of het incident opzettelijk of kwaadwillig lijkt te zijn.
  • 72 uur: incidentmelding. Een vollediger beoordeling: aanvankelijke ernst, indicatoren van compromissen en getroffen diensten.
  • 1 maand: eindrapport. Een volledige analyse van de hoofdoorzaak, de genomen herstelstappen, eventuele grensoverschrijdende gevolgen en de geleerde lessen.

De deadline van 24 uur overrompelt de meeste organisaties, omdat de reactieprocessen bij incidenten doorgaans eerst gericht zijn op de beheersing en pas op de tweede plaats op de melding. Als uw incidentresponsplan geen wettelijke kennisgevingsstap bevat in het eerste uur van een gemeld incident, moet het worden bijgewerkt voordat een echte gebeurtenis het probleem afdwingt.

Belangrijk

Als u binnen 24 uur uw bevoegde autoriteit op de hoogte stelt, hoeft u niet een volledig beeld van het incident te hebben. De vroegtijdige waarschuwing is er juist om de autoriteiten de tijd te geven om te helpen. Het uitstellen van de melding terwijl u onderzoek doet, is een veelgemaakte fout en trekt de aandacht van de handhavingsautoriteiten.

Managementverantwoording: het onderdeel dat de meeste organisaties missen

NIS2 Artikel 20 legt expliciete verplichtingen op aan het senior management. Bestuurders en C-suite managers moeten maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren, toezicht houden op de implementatie ervan en regelmatig cyberbeveiligingstraining krijgen.

Dit is nieuw terrein. Voorheen was cybersecurity een IT-functie waarover het management jaarlijks werd geïnformeerd. Onder NIS2 kunnen bestuursleden geconfronteerd worden met persoonlijke sancties voor overtredingen. De richtlijn vereist dat lidstaten het management persoonlijk aansprakelijk stellen, en van nationale toezichthouders wordt verwacht dat zij individuen vervolgen, en niet alleen boetes tegen de organisatie.

De opleidingsplicht is concreet: het management moet de cybersecurity-training voldoende voltooien om cybersecurity-risico’s te identificeren en te beoordelen en de impact ervan op de bedrijfsvoering te evalueren. Veel besturen zijn momenteel niet uitgerust om dit aan te tonen. Een briefingmemo van één pagina voldoet niet aan de eis. Een gedocumenteerd trainingsprogramma, met aanwezigheidsregistratie, doet dat wel.

Wat nu te doen

Als u uw NIS2-blootstelling nog niet in kaart heeft gebracht, doe dit dan binnen de komende 30 dagen. Begin met sector en omvang om uw niveau te bevestigen en werk vervolgens artikel 21 door als een nalevingscontrolelijst, waarbij u noteert waar u gedocumenteerd bewijsmateriaal heeft en waar er informeel controles bestaan.

  • Bepaal uw entiteitsniveau (essentieel of belangrijk) en bevestig uw registratieplicht bij de relevante nationale autoriteit in elke EU-lidstaat waar u actief bent.
  • Breng Artikel 21 in kaart met uw huidige controles. Geef prioriteit aan gedocumenteerde hiaten boven informele hiaten: toezichthouders zoeken naar bewijs, niet naar mondelinge zekerheid.
  • Werk uw incidentresponsplan bij met het meldingsproces in drie fasen en benoem de persoon die verantwoordelijk is voor de communicatie over de regelgeving tijdens een incident.
  • Leverancierscontracten beoordelen. Beveiligingsclausules moeten afdwingbaar zijn en het recht op controle omvatten voor uw meest kritische derde partijen.
  • Voer een trainingssessie op boardniveau uit en documenteer deze. Notulen van het bestuur waarin wordt opgemerkt dat discussies over cyberveiligheid nuttig zijn; een gestructureerd trainingsprogramma met aanwezigheidsregistratie is beter.
  • Laat een onafhankelijke beoordeling van de tekorten uitvoeren als u dat nog niet heeft gedaan. Een audit door de bevoegde autoriteit zal hetzelfde terrein bestrijken, maar op een veel minder geschikt tijdstip.

NIS2 handhaving is actief in Nederland. Het NCSC en de sectortoezichthouders zijn nu bezig met de registratieverplichtingen en initiële audits. Een organisatie die naar een toezichthouder komt met een ingevulde gap assessment en een herstelplan bevindt zich in een wezenlijk andere positie dan een organisatie die niets heeft gedaan.

De NIS2-richtlijn is volledig gepubliceerd op EUR-Lex (Richtlijn 2022/2555). De Nationaal Cyber ​​Security Centrum publiceert Nederlandse implementatierichtlijnen, sectorspecifieke vereisten en het registratieproces voor verplichte entiteiten.

Veelgestelde vragen

Op wie is NIS2 van toepassing?

NIS2 is van toepassing op organisaties in 18 cruciale sectoren in de hele EU, en bestrijkt ongeveer 160.000 entiteiten. Essentiële entiteiten zijn onder meer energieleveranciers, transportbedrijven, banken, gezondheidszorgorganisaties en aanbieders van digitale infrastructuur. Belangrijke entiteiten zijn onder meer postdiensten, afvalbeheer, voedselproducenten, chemische bedrijven en digitale dienstverleners. Elke organisatie met 50 of meer werknemers of een jaaromzet van € 10 miljoen die in deze sectoren actief is, heeft waarschijnlijk een omvang.

Wat zijn de 10 verplichte beveiligingsmaatregelen onder NIS2 artikel 21?

Artikel 21 vereist: risicoanalyse en beleid inzake de beveiliging van informatiesystemen; incidentafhandeling; bedrijfscontinuïteit, inclusief back-upbeheer en noodherstel; beveiliging van de toeleveringsketen; beveiliging bij de aanschaf van netwerk- en informatiesystemen; beleid voor het beoordelen van de effectiviteit van beveiligingsmaatregelen; basispraktijken op het gebied van cyberhygiëne en cyberbeveiligingstraining; beleid inzake het gebruik van cryptografie en encryptie; beveiliging van menselijke hulpbronnen; en toegangscontrole, activabeheer en het gebruik van multi-factor authenticatie.

Wat zijn de deadlines voor het melden van NIS2-incidenten?

NIS2 stelt een meldingsproces in drie fasen in. U moet binnen 24 uur nadat u zich bewust bent geworden van een aanzienlijk incident een vroegtijdige waarschuwing indienen bij uw nationale bevoegde autoriteit. Binnen 72 uur volgt een uitgebreidere incidentmelding. Binnen een maand is een eindrapport vereist, waarin een volledige beschrijving van het incident, de ernst ervan, het type dreiging en eventuele grensoverschrijdende effecten worden opgenomen.

Kunnen senior managers persoonlijk aansprakelijk zijn onder NIS2?

Ja. NIS2 Artikel 20 vereist dat beheersorganen de maatregelen voor cyberbeveiligingsrisicobeheer goedkeuren en toezicht houden op de implementatie ervan. Als er zich een inbreuk voordoet en uit het onderzoek blijkt dat het management nalatig is geweest bij het nakomen van deze verplichtingen, kunnen personen persoonlijk aansprakelijk worden gesteld. Voor essentiële entiteiten kunnen de nationale autoriteiten een natuurlijke persoon tijdelijk verbieden leidinggevende verantwoordelijkheden uit te oefenen.

Wat is de maximale boete voor niet-naleving van NIS2?

Voor essentiële entiteiten kunnen de NIS2-boetes oplopen tot € 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Voor belangrijke entiteiten bedraagt ​​het maximum € 7 miljoen of 1,4% van de wereldwijde jaaromzet. Toezichthouders kunnen ook bindende instructies, verplichte veiligheidsaudits en tijdelijke beperkingen op de dienstverlening uitvaardigen.

Praat met Cyvra

Weet u niet zeker of u in aanmerking komt voor NIS2?

We voeren NIS2 gap assessments uit voor organisaties in Nederland en het Verenigd Koninkrijk. Een duidelijk beeld van waar u staat, is beter dan gissen.

Neem contact op Onze compliancediensten

Vrijwaring: Dit artikel is uitsluitend bedoeld voor algemene informatiedoeleinden en vormt geen juridisch, regelgevend of professioneel advies. Cyvra geeft geen garantie met betrekking tot de juistheid of volledigheid van deze inhoud, die mogelijk niet de meest recente ontwikkelingen op regelgevingsgebied weerspiegelt. Lezers moeten onafhankelijk juridisch en regelgevend advies inwinnen dat geschikt is voor hun specifieke omstandigheden. Cyvra aanvaardt geen aansprakelijkheid voor enig verlies dat voortvloeit uit het vertrouwen op deze inhoud.